Quatrième messagerie instantanée la plus utilisée au monde en avril 2024, selon Statista, Telegram s’est forgé une belle réputation de service chiffré. Cependant, on peut être un cador de la sécurité et avoir des failles, et l’application russe n’y échappe pas. En effet, des chercheurs d’ESET, une société slovaque spécialisée dans la cybersécurité, ont confirmé l’existence d’une vulnérabilité qu’ils ont baptisée « EvilVideo » et qui peut faire froid dans le dos.
Comme son nom l’indique, elle permet d’utiliser l’API de Telegram pour créer de manière programmatique un message qui apparaît comme une vidéo de 30 secondes. Sauf qu’ici, il s’agit d’une supercherie : il est possible de placer n’importe quelle application à l’insu de l’utilisateur, qui n’a qu’à essayer de lire cette fausse vidéo pour que l’APK correspondant soit placé sur son appareil Android (le seul système d’exploitation affecté par « EvilVideo »). Pire encore, si le téléchargement automatique des médias est activé, le fichier est téléchargé dès l’ouverture de la conversation.
Heureusement, l’APK ne se lance et ne s’installe pas tout seul. Le système demande généralement une autorisation avant d’installer une application inconnue, il faut donc plusieurs étapes avant que la charge utile ne soit activée. Cette faille reste cependant assez dangereuse, car elle permet d’exploiter directement l’un des facteurs les plus fragiles en matière de cybersécurité : l’utilisateur. D’autant plus que, selon BleepingComputer, les applications qui auraient pu être déployées grâce à « EvilVideo » pourraient s’apparenter à Avast Antivirus ou à un « xHamster Premium Mod ».
Une vulnérabilité corrigée, mais qui aurait pu être exploitée depuis longtemps
Pour trouver les origines d’« EvilVideo », il faut se tourner vers un forum de piratage russe appelé XSS, dont l’un des membres a commencé à vendre l’exploit le 6 juin 2024. Selon lui, la faille concerne la v10.14.4 de l’application et ses versions antérieures, information confirmée par ESET. Telegram a pu corriger le problème dès le 11 juillet avec la v10.14.5, et les APK qui pouvaient auparavant prendre la forme d’une vidéo s’affichent désormais comme des applications.
Bien que le problème semble avoir été résolu, des acteurs malveillants ont eu au moins cinq semaines pour exploiter pleinement cette vulnérabilité. Ainsi, si vous avez utilisé Telegram avant sa mise à jour du 11 juillet, il est possible que vous ayez téléchargé sans le savoir un APK indésirable qui ne demande qu’à être ouvert.
Dans ce cas, il serait bon de lancer un scan des fichiers présents dans les dossiers /storage/emulated/0/Telegram/Telegram Video/ » (stockage interne) ou dans “/storage//Telegram/Telegram Video/” (stockage externe), comme le souligne BleepingComputer.
Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
GĂ©rer mes choix